Drie handvatten om soft controls te betrekken in de internal audit

Inzicht in soft controls levert een belangrijke kwalitatieve toevoeging aan de internal audit. Hoewel we zien dat de aandacht voor soft controls binnen de Internal Audit-wereld steeds groter wordt, ontbreekt de operationalisering nog. Internal Auditors geven aan het lastig te vinden om bevindingen over gedrag te onderbouwen en in een rapportage weer te geven. Hoe maakt u de ‘zachte kant’ grijpbaar en concreet? En hoe koppelt u daar in de vastlegging ook nog de juiste woorden aan? Door het (h)erkennen van soft controls en de werking daarvan te toetsen binnen de Internal Audit, kan de internal auditor haar aanpak innoveren. 

In deze blog bieden we handvatten om soft controls in het Internal Audit-proces te integreren en daarmee van toegevoegde waarde te laten zijn voor de interne beheersing. 

Vooraf: risico-identificatie

U kunt ervoor kiezen om soft controls kwantitatief te meten voorafgaand aan de internal audit. De uitkomsten uit een dergelijke meting geven inzicht in risico’s die binnen de organisatie aanwezig zijn op het gebied van soft controls. Bij een verminderde werking van soft controls is het risico groter dat er dingen fout gaan. Hier kunt u vervolgens de auditcapaciteit op aanpassen. De soft control-meting van BDO richt zich op vijf thema’s: leiderschap, communiceren, faciliteren, stimuleren en reageren.  De methodische wijze om de soft controls te meten, gaat een stap verder dan het bekende ‘onderbuikgevoel’.

Tijdens: interviews 

De werking van soft controls kunt u onderzoeken door in interviews stil te staan bij gedrag en motivatie. Hiervoor zijn specifieke interviewtechnieken vereist, want medewerkers geven niet makkelijk openheid over het gedrag dat ten grondslag ligt aan mogelijke misstanden. Die interviewtechnieken goed toepassen, vraagt wel training en oefening. Met de juiste expertise kunt u een vertrouwde omgeving laten ontstaan om de benodigde informatie over gedrag in een interview naar boven te halen. De verdiepende vragen over gedrag helpen bovendien om bij de geïnterviewden bewustzijn te creëren over de impact van gedrag. Dat is de eerste stap naar verbetering van de interne beheersing.  

Achteraf: oorzaakanalyse

Soft controls zoomen in op gedragspatronen van medewerkers. Dit gedag kan verklaren waarom zij regels en richtlijnen niet altijd (op de juiste manier) naleven. Met inzicht in de werking van soft controls kunt u beter inschatten of harde beheersmaatregelen zullen werken om tot een gedragsverandering te komen, of dat een andere interventie nodig is. Als voorbeeld: wanneer een medewerker bij afwezigheid een wachtwoord doorgeeft aan een collega, vanuit de gedachte dat ‘het werk dan doorgang kan vinden’, dan zal het bijstellen van het wachtwoordbeleid niet helpen, omdat de motivatie van medewerkers om collega’s te willen helpen, sterker is. Zoals de Senior Internal Auditor van een grote organisatie van ons zegt: ‘De hard en soft controls kunnen we binnen de Internal Audit niet los van elkaar zien. Een beetje het principe van Yin en Yang. Je hebt geen hard controls zonder soft controls. Uiteindelijk bepalen mensen wat er gedaan wordt’. 

Slotsom: soft controls zijn de toekomst in Internal Audit 

De grootste incidenten en verliezen worden vandaag de dag nog steeds veroorzaakt door menselijk gedrag en door het feit dat organisaties de signalen hiervan te laat en onvoldoende opvangen. In de meest ideale situatie dwingt de organisatie dat gewenste gedrag niet af, maar is dat gedrag vanzelfsprekend, dankzij de innerlijke overtuigingen van medewerkers. Aandacht voor soft controls is tegenwoordig dus onmisbaar. En daar ligt voor de Internal Auditor een kans om zich - in het licht van de huidige technologische ontwikkelingen - te onderscheiden van geautomatiseerde controls: door het (h)erkennen van soft controls en de werking daarvan te toetsen binnen de Internal Audit. Zo verscherpt u de focus op gedrag, waarmee de Internal Auditor weer meer toegevoegde waarde kan leveren. 

Meer informatie

Wij denken graag mee over de manier waarop uw organisatie soft controls kan implementeren binnen de internal auditwerkzaamheden. Controles zijn goed, maar vertrouwen nog beter! Niet twijfelen, gewoon doen. Neem contact op met onze specialisten voor meer informatie.